Què és Psad?
El servei psad és un detector d’intrusos i un analitzador de logs de iptables. Consta de tres serveis lleugers que analitzen els logs d’Iptables, per detectar els escanejos de ports i altre transit sospitós.
A més, psad es nodreix de les signatures del detector d’intrusos Snort, per detectar accessos de programes tipus “backdoor” (EvilFTP, GirlFriend, …), eines per atacs DDos (mstream, shaft, …) i altres eines avançades d’escaneig de ports.
Com instal·lar psad?
NOTA: Totes les configuracions que es duran a terme a continuació s’han de fer amb un usuari root o que pertany al grup de sudoers i s’ha usat un sistema Debian 7. S’ha obviat el comandament sudo, per escurçar.
Primer de tot necessitam configurar iptables.
En primer lloc, per facilitar la tasca de configuració de iptables, podem usar iptables-persistent. Del qual parlarem a l’entrada anterior “Com usar iptables-persistent”, si ja sabeu com va, o teniu altre mètode, podem seguir.
Necessitem que iptables desi a un log, el transit descartat per així psad poder llegir-lo
iptables -A INPUT -j LOG iptables -A FORWARD -j LOG
Seguidament desam els canvis.
Instal·lació del psad
Per instal·lar és molt simple.
apt-get install psad
Configuració del psad
Per configurar el servei de psad s’ha de modificar el fitxer psad.conf.
Abans de començar a modificar-lo, millor fer una còpia de seguretat per tenir una referència
cp /etc/psad/psad.conf /etc/psad/psad.conf.backup
Llavors ja podem editar tranquilament.
nano /etc/psad/psad.conf
Per configurar les diferents variables del fitxer de configuració, podeu adreçar-vos al manpage del psad, on trobareu totes les variables. Tots els valors han d’acabar amb un punt i coma (;)
man psad
A continuació explicaré unes quantes, diguem, les més importants:
EMAIL_ADDRESS: És a l’adreça de correu on s’enviaran les notificacions. Es poden afegir varies separades per coma. Exemple:
EMAIL_ADDRESS root@localhost, psad@test.com, psad@test2.com;
HOSTNAME: El nom de la màquina a la que està instal·lat psad. Exemple:
HOSTNAME foner.uep.cat;
IPT_SYSLOG_FILE: El fitxer de log on psad agafarà la informació. A sistemes debian sol ser /var/log/kern.log.
IPT_SYSLOG_FILE /var/log/kern.log;
PSAD_EMAIL_LIMIT: Defineix el nombre màxim de correus a enviar per a cada una de les IP que ens escanegen (per defecte 50). Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 50. Millor baixar el valor, ja que podrem tenir el correu inundat d’avisos.
PSAD_EMAIL_LIMIT 20;
EMAIL_ALERT_DANGER_LEVEL: Defineix el nivell de perill que ha d’arribar un escaneig abans d’enviar-nos un correu. Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 1. Millor pujar el valor a 3, ja que podrem tenir el correu inundat d’avisos.
EMAIL_ALERT_DANGER_LEVEL 3;
Podem configurar IPs i/o Ports per afegir-los a una llista negra “blacklist” (dangerlevel = 5) o una llista blanca whitelist (dangerlevel = 0). Per fer-ho hem de modificar el següent fitxer:
nano /etc/psad/auto_dl
On podem veure que segueix la següent estructura:
<IP address> <danger level> <optional protocol>/<optional ports> ;
Lo seu és afegir les IP del servidor i les que usam per a l’administració d’aquest a la llista blanca. Per exemple:
127.0.0.1 0; #adreça IP local 37.22.22.22 0; #adreça IP publica servidor 80.12.69.80 0; #adreça IP d’administració
(IPs inventades)
Una vegada modificats els fitxers, és necessari reiniciar psad
service psad restart
Un cop reiniciat el servei, ja tenim el psad funcionant.
Per veure l’estat del servei executam
psad -S
Fins aquí res més, que ho disfruteu 🙂
Fonts: